IdentityServer3 - OAuth 流,不同的方法
IdentityServer3 - OAuth Flows, different approaches
我构建了一个本质上是REST Web API的应用程序。我想让其他开发人员有机会代表用户调用这些 API。我决定继续使用 OAuth 身份验证,将我的身份验证服务基于 IdentityServer3。现在,我已经成功地使用授权流为第三方客户端生成了访问令牌。
不能说服我的是如何处理当前仅使用基于 cookie 的身份验证(+防伪令牌)调用我的 Web API 的 SPA。这个应用程序是用Javascript编写的,基于Backbone。实质上,它所做的只是调用我的 Web API 并呈现结果。我对不同的赠款流感到困惑,我不想造成安全漏洞。
我想过的解决方案:
- 直接通过Javascript生成令牌。我应该使用哪种流?如何处理令牌刷新?
- 从后端服务器应用程序生成令牌,并将生成的令牌传递回 SPA(显然是通过 SSL 通道)。这在某种程度上安全吗?如果是,我应该使用哪种流(我会说授权代码流)?如何处理令牌刷新?
你会如何处理这个问题?
谢谢
马可
这里有一篇文章概述了哪种流适合哪种方案: https://leastprivilege.com/2016/01/17/which-openid-connectoauth-2-o-flow-is-the-right-one/
相关文章:
- electronic BrowserWindow的最小高度和宽度在hide()show()方法之后不起作用
- 有没有任何方法可以将控制器从文件加载到ui路由器$stateProvider中
- 数组在递归方法中设置为null
- 打破承诺链的好方法是什么
- 在使用Polymer'加载所有json文件后执行方法;s的核心ajax
- 使用“;这个“;JavaScript原型方法中的关键字
- 序列化数据属性中对象的最可靠方法
- 使用Objective-C的JavaScript注入方法
- 有没有一种方法可以添加相同的项目val=“0”;4〃;到JavaScript中数组的每个对象
- 有没有一种方法可以防止img get请求使用css或js发生
- Javascript,有没有一种方法可以将数组写成没有逗号或空格的单个文本字符串
- toBoolean方法类似于toString
- 如何在单击复选框后调用控制器方法
- 是否有任何方法可以使用jQuery替换在数组中定义值的文本
- 递归使用 eval() 是检查程序执行的好方法吗?
- IdentityServer3 - OAuth 流,不同的方法
- OAuth Javascript:twitter,通过默默无闻实现安全?有更好的方法
- OAuth.popup()方法在live中不工作,在本地主机上工作
- OAuth.使用OAuth获取tweet时出现未定义错误.重定向方法的回调
- iOS上Chrome中"不支持"的Facebook OAuth重定向方法的正确位置是什么